On Mon, Sep 28, 2009 at 07:29:06AM +0000, Sydoruk Yaroslav wrote: > Stanislav Maslovski <[email protected]> wrote: > > On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote: > >> On Sun, Sep 27, 2009 at 02:32:14PM +0000, Sydoruk Yaroslav wrote: > >> > 3. нужно блокать такие syn пакет у которых например offset=0. > >> > >> --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0" > > > > На всякий случай уточняю: > > > > --protocol tcp --syn --match u32 --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0" > > > > Ну и хотелось бы узнать еще, зачем Ярославу это надо. > > > Идет syn-flood до 20-100 тыс запросов в секунду. > В syn-flood атаке явно выраженные пакеты, которые не похожи на валидные > (отсутствие timestamp и так далее) > Спасибо за правило, очень помогло, уже надропало пакетов на 10Gb
Ясно. А какая нагрузка на проц при этом, интересно? -- Stanislav -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
